您好,登錄后才能下訂單哦!
這篇文章將為大家詳細(xì)講解有關(guān)lsof命令怎么用,小編覺得挺實用的,因此分享給大家做個參考,希望大家閱讀完這篇文章后可以有所收獲。
一:lsof介紹
lsof 是 linux 下的一個非常實用的系統(tǒng)級的監(jiān)控、診斷工具。
它的意思是 List Open Files,很容易你就記住了它是 “l(fā)s + of”的組合,它可以用來列出被各種進(jìn)程打開的文件信息,記?。簂inux 下 “一切皆文件”,包括但不限于 pipes, sockets, directories, devices, 等等。
因此,使用 lsof,你可以獲取任何被打開文件的各種信息,只需輸入 lsof 就可以生成大量的信息,因為 lsof 需要訪問核心內(nèi)存和各種文件,所以必須以 root 用戶的身份運行它才能夠充分地發(fā)揮其功能。
適應(yīng)條件:lsof訪問的是核心文件和各種文件,所以必須以root用戶的身份運行才能充分發(fā)揮其功能。
lsof [選項] [絕對路徑的文件名]
示例:
[root@localhost ~]# lsof /usr/sbin/httpd
COMMAND PID USER FD TYPE DEVICE SIZE/OFF NODE NAME
httpd 6279 root txt REG 8,2 344112 415135 /usr/sbin/httpd
httpd 6281 apache txt REG 8,2 344112 415135 /usr/sbin/httpd
httpd 6282 apache txt REG 8,2 344112 415135 /usr/sbin/httpd
httpd 6283 apache txt REG 8,2 344112 415135 /usr/sbin/httpd
httpd 6284 apache txt REG 8,2 344112 415135 /usr/sbin/httpd
httpd 6285 apache txt REG 8,2 344112 415135 /usr/sbin/httpd
httpd 6286 apache txt REG 8,2 344112 415135 /usr/sbin/httpd
httpd 6287 apache txt REG 8,2 344112 415135 /usr/sbin/httpd
httpd 6288 apache txt REG 8,2 344112 415135 /usr/sbin/httpd
httpd 6546 apache txt REG 8,2 344112 415135 /usr/sbin/httpd
每行顯示一個打開的文件,默認(rèn)如果后面不跟任何東西,將打開系統(tǒng)打開的所有文件
COMMAND :進(jìn)程名稱
PID:進(jìn)程標(biāo)識符
USER:進(jìn)程所有者
FD:文件描述符,應(yīng)用程序通過文件描述符識別到該文件。如cwd、txt等
TYPE:文件類型,如DIR,REG
DEVICE:指定磁盤名稱
SIZE:文件大小
NODE:索引節(jié)點(文件在磁盤上的標(biāo)識)
NAME:打開文件的確切名稱
補(bǔ)充:FD列中的文件描述cwd值表示應(yīng)用程序的當(dāng)前工作目錄,這是該程序啟動的目錄,除非它本身對這個目錄進(jìn)行更改。txt類型的是程序代碼,如應(yīng)用程序二進(jìn)制文件本身或者共享庫。其次數(shù)值表示應(yīng)用程序的文件描述符,這是打開文件時一個返回的一個整數(shù)。
如下示例:
COMMAND PID USER FD TYPE DEVICE SIZE/OFF NODE NAME
lsof 6660 root 0u CHR 136,0 0t0 3 /dev/pts/0
lsof 6660 root 1u CHR 136,0 0t0 3 /dev/pts/0
lsof 6660 root 2u CHR 136,0 0t0 3 /dev/pts/0
lsof 6660 root 3r DIR 0,3 0 1 /proc
lsof 6660 root 4r DIR 0,3 0 36358 /proc/6660/fd
lsof 6660 root 5w FIFO 0,8 0t0 36363 pipe
lsof 6660 root 6r FIFO 0,8 0t0 36364 pipe
lsof 6661 root cwd DIR 8,2 4096 130562 /root
lsof 6661 root rtd DIR 8,2 4096 2 /
lsof 6661 root txt REG 8,2 154356 415242 /usr/sbin/lsof
lsof 6661 root mem REG 8,2 1907156 914957 /lib/libc-2.12.so
lsof 6661 root mem REG 8,2 17892 914963 /lib/libdl-2.12.so
lsof 6661 root mem REG 8,2 141080 914950 /lib/ld-2.12.so
lsof 6661 root mem REG 8,2 120780 915040 /lib/libselinux.so.1
lsof 6661 root mem REG 8,2 99154448 395123 /usr/lib/locale/locale-archive
lsof 6661 root 4r FIFO 0,8 0t0 36363 pipe
lsof 6661 root 7w FIFO 0,8 0t0 36364 pipe
其中u表示該文件被打開處于讀取\寫入模式,而不是只讀或只寫模式;r 只讀 ; w 只寫 ;W表示該應(yīng)用程序具有對整個文件的寫鎖(確保每次只能打開一次應(yīng)用程序?qū)嵗?/strong>
初始打開每個應(yīng)用程序時,都具有三個文件描述符,從0到2,分別表示標(biāo)準(zhǔn)輸入、輸出和錯誤流。因此,大多數(shù)應(yīng)用程序所打開的FD都是從3開始!
TYPE:REG、DIR、CHR、BLK、UNIX、FIFO、IPV
二、應(yīng)用lsof之恢復(fù)刪除文件
當(dāng)系統(tǒng)中的某個文件被意外刪除了,只要這個時候系統(tǒng)中有進(jìn)程正在訪問這個文件,那么可以通過lsof 從/proc目錄下恢復(fù)文件的內(nèi)容
假如/var/log/messages文件被刪了,恢復(fù)這個文件的方法:
首先使用lsof 查看當(dāng)前是否有進(jìn)程打開/var/log/messages文件,
#lsof |grep /var/log/messages
[root@localhost ~]# rm /var/log/messages
rm:是否刪除普通文件 "/var/log/messages"?y
[root@localhost ~]# lsof |grep /var/log/messages
rsyslogd 5925 root 1w REG 8,2 4369 266184 /var/log/messages (deleted)
從上面的信息可以看到PID 5925(syslogd)打開文件的文件描述符為1,同時發(fā)現(xiàn)/var/log/messages已經(jīng)被刪除了。
因此可以通過/var/log/messages文件描述符來查看文件信息
cat /pro/5925/fd/1
[root@localhost ~]# cat /proc/5925/fd/1
May 12 08:04:11 localhost kernel: hpet1: lost 3 rtc interrupts
May 12 08:04:11 localhost kernel: hpet1: lost 6 rtc interrupts
May 12 08:04:11 localhost kernel: hpet1: lost 1 rtc interrupts
May 12 09:25:33 localhost kernel: usb 2-2.1: USB disconnect, device number 10
May 12 09:25:33 localhost kernel: eth0: link down
May 12 09:25:33 localhost kernel: usb 2-2.1: new full speed USB device number 11 using uhci_hcd
May 12 09:25:33 localhost kernel: usb 2-2.1: New USB device found, idVendor=0e0f, idProduct=0008
May 12 09:25:33 localhost kernel: usb 2-2.1: New USB device strings: Mfr=1, Product=2, SerialNumber=3
May 12 09:25:33 localhost kernel: usb 2-2.1: Product: Virtual Bluetooth Adapter
May 12 09:25:33 localhost kernel: usb 2-2.1: Manufacturer: VMware
May 12 09:25:33 localhost kernel: usb 2-2.1: SerialNumber: 000650268328
May 12 09:25:33 localhost kernel: usb 2-2.1: configuration #1 chosen from 1 choice
最后通過重定向的方法恢復(fù)被刪除的/var/log/messages
cat /pro/5925/fd/1 >/var/log/messages
三、lsof命令詳解:
3.1查看命令詳解
lsof -h
3.2列出所有打開的文件
# lsof
不帶任何參數(shù)運行l(wèi)sof會列出所有進(jìn)程打開的所有文件。
3.3找出誰在使用某個文件
# lsof /path/to/file
只需要執(zhí)行文件的絕對路徑,lsof就會列出所有使用這個文件的進(jìn)程,你也可以列出多個文件,lsof會列出所有使用這些文件的進(jìn)程。
你也可以一次制定多個文件:
# lsof /path/to/file1 /path/to/file2
3.4遞歸查找某個目錄中所有打開的文件
# lsof +D /usr/lib
加上+D參數(shù),lsof會對指定目錄進(jìn)行遞歸查找,注意這個參數(shù)要比grep版本慢:
# lsof | grep '/usr/lib'
之所以慢是因為+D首先查找所有的文件,然后一次性輸出。
3.5列出某個用戶打開的所有文件
# lsof -u pkrumins
-u選項限定只列出所有被用戶pkrumins打開的文件,你可以通過逗號指定多個用戶:
# lsof -u rms,root
這條命令會列出所有rms和root用戶打開的文件。
你也可以像下面這樣使用多個-u做同樣的事情:
# lsof -u rms -u root
3.6查找某個程序打開的所有文件
# lsof -c apache
-c選項限定只列出以apache開頭的進(jìn)程打開的文件:
所以你可以不用像下面這樣寫:
# lsof | grep foo
而使用下面這個更簡短的版本:
# lsof -c foo
事實上,你可以只制定進(jìn)程名稱的開頭:
# lsof -c apa
這會列出所有以apa開頭的進(jìn)程打開的文件
你同樣可以制定多個-c參數(shù):
# lsof -c apache -c python
這會列出所有由apache和python打開的文件
3.7 列出所有由某個用戶或某個進(jìn)程打開的文件
# lsof -u pkrumins -c apache
你也可以組合使用多個選項,這些選項默認(rèn)進(jìn)行或關(guān)聯(lián),也就是說上面的命令會輸入由pkrumins用戶或是apache進(jìn)程打開的文件。
3.8 列出所有由一個用戶與某個進(jìn)程打開的文件
# lsof -a -u pkrumins -c bash
-a參數(shù)可以將多個選項的組合條件由或變?yōu)榕c,上面的命令會顯示所有由pkrumins用戶以及bash進(jìn)程打開的文件。
3.9列出除root用戶外的所有用戶打開的文件
# lsof -u ^root
注意root前面的^符號,它執(zhí)行取反操作,因此lsof會列出所有root用戶之外的用戶打開的文件。
3.10 列出所有由某個PID對應(yīng)的進(jìn)程打開的文件
# lsof -p 1
-p選項讓你可以使用進(jìn)程id來過濾輸出。
記住你也可以用逗號來分離多個pid。
# lsof -p 450,980,333
列出所有進(jìn)程打開的文件除了某個pid的
# lsof -p ^1
同前面的用戶一樣,你也可以對-p選項使用^來進(jìn)行取反。
3.11 列出所有網(wǎng)絡(luò)連接
# lsof -i
lsof的-i選項可以列出所有打開了網(wǎng)絡(luò)套接字(TCP和UDP)的進(jìn)程。
3.12 列出所有TCP網(wǎng)絡(luò)連接
# lsof -i tcp
也可以為-i選項加上參數(shù),比如tcp,tcp選項會強(qiáng)制lsof只列出打開TCP sockets的進(jìn)程。
3.13 列出所有UDP網(wǎng)絡(luò)連接
# lsof -i udp
同樣udp讓lsof只列出使用UDP socket的進(jìn)程。
3.14 找到使用某個端口的進(jìn)程
# lsof -i :25
:25和-i選項組合可以讓lsof列出占用TCP或UDP的25端口的進(jìn)程。
你也可以使用/etc/services中制定的端口名稱來代替端口號,比如:
# lsof -i :smtp
找到使用某個udp端口號的進(jìn)程
# lsof -i udp:53
同樣的,也可以找到使用某個tcp端口的進(jìn)程:
# lsof -i tcp:80
3.15 找到某個用戶的所有網(wǎng)絡(luò)連接
# lsof -a -u hacker -i
使用-a將-u和-i選項組合可以讓lsof列出某個用戶的所有網(wǎng)絡(luò)行為。
3.16 列出所有NFS(網(wǎng)絡(luò)文件系統(tǒng))文件
# lsof -N
這個參數(shù)很好記,-N就對應(yīng)NFS。
3.17 列出所有UNIX域Socket文件
# lsof -U
這個選項也很好記,-U就對應(yīng)UNIX。
3.18 列出所有對應(yīng)某個組id的進(jìn)程
# lsof -g 1234
進(jìn)程組用來來邏輯上對進(jìn)程進(jìn)行分組,這個例子查找所有PGID為1234的進(jìn)程打開的文件。
3.19 列出所有與某個描述符關(guān)聯(lián)的文件
# lsof -d 2
這個命令會列出所有以描述符2打開的文件。
你也可以為描述符指定一個范圍:
# lsof -d 0-2
這會列出所有描述符為0,1,2的文件。
-d選項還支持其它很多特殊值,下面的命令列出所有內(nèi)存映射文件:
# lsof -d mem
txt則列出所有加載在內(nèi)存中并正在執(zhí)行的進(jìn)程:
# lsof -d txt
3.20 輸出使用某些資源的進(jìn)程pid
# lsof -t -i
-t選項輸出進(jìn)程的PID,你可以將它和-i選項組合輸出使用某個端口的進(jìn)程的PID,下面的命令將會殺掉所有使用網(wǎng)絡(luò)的進(jìn)程:
# kill -9 'lsof -t -i'
3.21 循環(huán)列出文件
# lsof -r 1
-r選項讓lsof可以循環(huán)列出文件直到被中斷,參數(shù)1的意思是每秒鐘重復(fù)打印一次,這個選項最好同某個范圍比較小的查詢組合使用,比如用來監(jiān)測網(wǎng)絡(luò)活動:
# lsof -r 1 -u john -i -a
四、如何安裝lsof?
許多Unix系統(tǒng)都內(nèi)置了lsof,如果你的系統(tǒng)沒有安裝,你可以從這里直接下載源代碼:https://people.freebsd.org/~abe/。
BSD系統(tǒng)有一個類似的工具可以做同樣的事情,叫做fstat。
你可以通過man lsof來了解關(guān)于lsof的完整文檔,或者通過lsof -h查看。
關(guān)于“l(fā)sof命令怎么用”這篇文章就分享到這里了,希望以上內(nèi)容可以對大家有一定的幫助,使各位可以學(xué)到更多知識,如果覺得文章不錯,請把它分享出去讓更多的人看到。
免責(zé)聲明:本站發(fā)布的內(nèi)容(圖片、視頻和文字)以原創(chuàng)、轉(zhuǎn)載和分享為主,文章觀點不代表本網(wǎng)站立場,如果涉及侵權(quán)請聯(lián)系站長郵箱:is@yisu.com進(jìn)行舉報,并提供相關(guān)證據(jù),一經(jīng)查實,將立刻刪除涉嫌侵權(quán)內(nèi)容。